Un error en una actualización de junio de 2022 fue el principio del fin para DanaBot, uno de los malwares bancarios más conocidos. Esa falla en su infraestructura permitió a investigadores rastrear a sus operadores, lo que terminó con una redada internacional que desmanteló sus operaciones y dejó a 16 personas acusadas.
DanaBot llevaba activo desde 2018 y funcionaba como una especie de “malware como servicio” (MaaS). ¿Qué significa eso? Básicamente, cualquier ciberdelincuente podía alquilarlo para hacer cosas como robar credenciales, realizar fraudes bancarios, tomar control remoto de computadoras o lanzar ataques DDoS (esos que tumban páginas web saturándolas de tráfico).
El descubrimiento clave lo hicieron los investigadores de ThreatLabz. Ellos encontraron una vulnerabilidad que bautizaron como DanaBleed, una especie de fuga de memoria que les abrió una ventana directa a todo lo que pasaba tras bambalinas del malware: cómo operaba, qué módulos usaba y, lo más importante, quiénes estaban detrás.
Gracias a esa filtración de información, se pudo lanzar Operación Endgame, un esfuerzo policial internacional que logró cerrar los servidores de DanaBot y llevar a varios de sus responsables ante la justicia.
¿Qué fue DanaBleed?
Todo empezó en junio de 2022, cuando DanaBot lanzó su versión 2380 e incluyó un nuevo protocolo de comando y control (C2). Lo que sus desarrolladores no sabían es que con esa actualización también cometieron un error (y grave).
El problema, que luego se conocería como DanaBleed, estaba en la forma en que el servidor C2 respondía a los bots infectados. Se suponía que las respuestas debían incluir algunos bytes de “relleno” generados al azar, pero había un detalle crítico: el sistema no limpiaba bien la memoria antes de usarla. Es decir, quedaban ahí datos viejos, como si copiaras un archivo nuevo sobre uno viejo sin borrar nada.
Los investigadores de Zscaler, que estaban atentos, empezaron a recolectar estas respuestas del servidor. Gracias al error, pudieron ver “sobras” de memoria que jamás debieron estar ahí. ¿Te suena familiar? Es parecido a HeartBleed, aquel fallo famoso de 2014 en OpenSSL que también dejaba escapar información sensible sin que nadie lo notara.
¿Qué información quedó expuesta?
Durante más de tres años, DanaBot siguió operando como si nada, mientras su sistema filtraba datos como un colador. Lo increíble es que ni los programadores ni los ciberdelincuentes que usaban la plataforma se dieron cuenta.
¿Y qué datos lograron recopilar los investigadores? De todo un poco:
-
Información de los propios atacantes: nombres de usuario, IPs, y otros rastros que dejaron por error.
-
La infraestructura C2 completa: direcciones IP, dominios y servidores que usaban para comunicarse con los bots.
-
Datos de víctimas: direcciones IP, credenciales robadas, y todo lo que exfiltraban del sistema infectado.
-
Registros internos del malware, como cambios en el código o nuevas versiones.
-
Claves privadas que usaban para cifrar sus comunicaciones (algo muy delicado).
-
Consultas SQL y logs de depuración que mostraban cómo operaban sus servidores.
-
Fragmentos de código HTML e incluso partes de la interfaz web que usaban los operadores para manejar el malware desde sus paneles.
Conoce más sobre: Hacker FIN6 Fingen ser Candidatos de Empleo para Atacar a Reclutadores
¿Por qué esto fue tan importante?
Este error permitió a los investigadores observar todo desde adentro, como si hubieran dejado una ventana abierta al centro de mando de los atacantes. No fue solo un vistazo momentáneo: fue una filtración sostenida durante más de tres años.
Y gracias a toda esa información, las autoridades pudieron actuar con precisión. Cuando ya tenían pruebas suficientes, se lanzó una operación policial internacional que terminó desconectando por completo la infraestructura de DanaBot y presentando cargos contra los implicados.
Datos HTML filtrados en las respuestas del servidor C2 (Fuente: Zscaler)
Aunque el núcleo del equipo de DanaBot, ubicado en Rusia, no fue arrestado sino solo acusado formalmente, el golpe que recibieron fue duro: las autoridades les confiscaron servidores C2 clave, más de 650 dominios y cerca de 4 millones de dólares en criptomonedas. Eso, por ahora, ha dejado al malware fuera de juego.
¿Podrían intentar volver más adelante? Seguro. Pero lo van a tener difícil. Después de este desliz tan grande, la comunidad hacker probablemente ya no confíe tanto en ellos. En ese mundo, perder la reputación es casi tan grave como perder el control del código.